Upoważnienie do przetwarzania danych osobowych - Wsparcie Prawne Biznesów Online

Upoważnienie do przetwarzania danych

Ochrona danych osobowych

W jakim celu udzielane jest upoważnienie do przetwarzania danych?

Upoważnienie do przetwarzania danych osobowych stanowi wyraz wykonania obowiązku, określonego w art. 32 ust. 4 w zw. z art. 29 RODO, do podejmowania działań w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora (podmiot przetwarzający), chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Celem nałożonego obowiązku jest czuwanie nad kręgiem podmiotów przez które dane osobowe są przetwarzane, czy inaczej – by dostęp do danych osobowych posiadały osoby wskazane przez administratora, zaś osoby upoważnione do przetwarzania danych osobowych przetwarzały je na zasadach i w sposób określony przez administratora (czyli zgodnie z poleceniem administratora).

Administrator (podmiot przetwarzający) może upoważnić inną osobę do nadawania upoważnień do przetwarzania danych osobowych, choć w ocenie PUODO wydawanie upoważnień osobiście przez osobę kierującą lub zarządzającą podmiotem będącym administratorem (podmiotem przetwarzającym) może istotnie wpłynąć na zapewnienie kontroli nad prawidłowym przebiegiem ich wydawania. Osobą, o której mowa w zdaniu poprzedzającym nie powinna być jednak osoba wyznaczona na stanowisko Inspektora Ochrony Danych (IOD), albowiem powoduje to konflikt interesów (art. 38 ust. 6 RODO). Do zadań IOD należy, bowiem monitorowanie przestrzegania przepisów o ochronie danych osobowych i ustanowionych przez administratora (podmiot przetwarzających) wewnętrznych polityk z zakresu ochrony danych osobowych (zob. art. 39 RODO) Podobne stanowisko wyraził PUODO (zob. Czy IOD może nadawać upoważnienia).

Oprócz tego, nadanie upoważnień do przetwarzania danych osobowych stanowi rodzaj zabezpieczenia przetwarzanych danych osobowych.

Art. 32 ust. 1 RODO

Administrator i podmiot przetwarzający mają obowiązek, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Należy podzielić pogląd K. Witkowskiej – Nowakowskiej, że upoważnienie do przetwarzania danych osobowych do działania z upoważnienia administratora (podmiotu przetwarzającego) należy udzielić nie tylko osobom przetwarzającym dane osobowe, które są zatrudnione na umowę o pracę czy w oparciu o cywilnoprawne formy zatrudnienia. O udzieleniu upoważnienia do przetwarzania danych osobowych należy również pamiętać w przypadku praktykantów, stażystów, a nawet osoby współpracującej i prowadzącej działalność gospodarczą. Generalnie przyjmuje się, że osoba upoważniona do przetwarzania danych osobowych powinna być w pewien sposób zależna od administratora i nie powinna posiadać uprawnienia do decydowania o przetwarzaniu danych osobowych. Dodatkowo powinna działać w ramach organizacji administratora (podmiotu przetwarzającego) (K. Witkowska-Nowakowska, komentarz do art. 29 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak -Jomaa, D. Lubasz, Lex).

Umowa powierzenia przetwarzania danych osobowych

16 maja 2020 3 komentarze

Umowa powierzenia przetwarzania danych Ochrona danych osobowych Autor Justyna Kocur-Czarny Praktycznie każdy z nas korzysta z rozwiązań czy usług innych podmiotów. Usługi te są zarówno płatne, jak i nieodpłatne. Zakres wykorzystywanych

Czytaj więcej »

Forma upoważnienia do przetwarzania danych osobowych

Pomimo licznych stanowisk przedstawicieli doktryny odnoszących się do formy pisemnej upoważnienia, dalej pojawiają się wątpliwości co do możliwości udzielania upoważnienia do przetwarzania danych osobowych w formie elektronicznej. Mając na uwadze jedną z naczelnych zasad RODO – zasadę rozliczalności (art. 5 ust. 2 RODO) dopuścić należy udzielenie przedmiotowego upoważnienia w formie elektronicznej, także stworzonego i podpisanego w dedykowanym temu procesowi systemie teleinformatycznym (tak PUODO [w:] Czy elektroniczna postać upoważnienia spełnia wymogi „pisemnego upoważnienia”?).

Co powinno zawierać upoważnienie do przetwarzania danych?

Upoważnienie do przetwarzania danych osobowych powinno zawierać takie dane jak:

datę i miejscowość wydania upoważnienia
oznaczenie, że dokument jest „upoważnieniem do przetwarzania danych osobowych” (choć będzie to wynikać z jego treści)
podstawę prawną udzielonego upoważnienia (np. na podstawie art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1 ze zm.)
imię i nazwisko, ewentualnie stanowisko osoby, która ma być upoważniona do przetwarzania danych osobowych
zakres upoważnienia do przetwarzania danych osobowych
okres ważności udzielonego upoważnienia (w przypadku udzielania ich bezterminowo, należy pamiętać o ich odwołaniu)
zobowiązanie do:
- do działania zgodnie z udzielonym upoważnieniem
- zachowania poufności
- przestrzegania przepisów o ochronie danych osobowych
- przestrzegania zasad obowiązujących w firmie
podpis osoby upoważniającej
podpis osoby upoważnionej

W praktyce nadanie upoważnienia powinno być związane z podpisaniem przez osobę odbierającą upoważnienie oświadczenia o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych, zasadami obowiązującymi w organizacji (firmie) oraz o przyjęciu do wiadomości obowiązku zachowania tajemnicy, przestrzegania przepisów o ochronie danych osobowych oraz działania zgodnie z udzielonym upoważnieniem. W przypadku zawarcia oświadczenia i upoważnienia w jednym dokumencie należy pamiętać o podpisie osoby składającej oświadczenie, a także dwóch egzemplarzach upoważnienia (1 dla organizacji, 1 dla upoważnionego, składającego oświadczenie).

Zakresy upoważnień do przetwarzania danych osobowych powinny być ustalone tak, aby zapewnić realizację obowiązku kontrolowania przez administratora (podmiot przetwarzający) przetwarzania przez osoby upoważnione danych osobowych, w tym czy osoby upoważnione do przetwarzania danych osobowych mają faktyczny dostęp do danych osobowych tylko w zakresie udzielonych upoważnień.

PAKIET -wzorów dokumentów dot. upoważnienia do przetwarzania
123,00zł Dodaj do koszyka

Źródła:

Stanowisko PUODO z dnia 29.11.2019 r., Czy IOD może nadawać upoważnienia? (online:) https://uodo.gov.pl/pl/225/1277, [dostęp: 24.01.2020 r.]
Stanowisko PUODO z dnia 29.11.2019 r., Czy elektroniczna postać upoważnienia spełnia wymogi „pisemnego upoważnienia”?, https://uodo.gov.pl/pl/225/1278, [dostęp: 24.01.2020 r. ]
K. Witkowska-Nowakowska, komentarz do art. 29 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak -Jomaa, D. Lubasz, Lex
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1 ze zm.

Aktualizacja 18.01.2021 r.

Ustawienia plików cookie

Poniżej możesz zmienić ustawienia plików cookie. Aby to zrobić przesuń suwak przy wybranej kategorii plików cookie. Masz prawo do wglądu w swoje ustawienia oraz do ich zmiany w dowolnym czasie. Więcej informacji o poszczególnych kategoriach plików cookie, które wykorzystuje strona internetowa znajdziesz w Polityce prywatności.

Niezbędne

Zawsze włączone

Niezbędne pliki cookie (oraz inne podobne technologie) są potrzebne dla zapewnienia właściwego funkcjonowania witryny oraz zapewnienia odpowiedniego poziomu bezpieczeństwa, w związku z czym nie mogą one zostać wyłączone.

Cookie	Czas przechowywania	Opis
cookielawinfo-checkbox-analytics	1 rok	Ten plik cookie, ustawiony przez wtyczkę GDPR Cookie Consent, służy do rejestrowania zgody użytkownika na pliki cookie w kategorii „Analityczne”.
cookielawinfo-checkbox-necessary	1 rok	Ten plik cookie, ustawiony przez wtyczkę GDPR Cookie Consent, służy do rejestrowania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
mailerlite:webform:shown		Plik cookie używany przez formularz zapisu na newsletter do określenia, czy formularz zapisu na newsletter został już wyświetlonwy użytkownikowi odwiedzającemu stronę.
viewed_cookie_policy	1 rok	Plik cookie jest ustawiany przez wtyczkę GDPR Cookie Consent w celu przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie (żadne dane osobowe nie są zapisywane ani przechwowane).

Analityczne

Pliki cookie służące do dokonywania pomiarów i sprawdzania poprawności funkcjonowania strony. Umożliwiają weryfikację ilości osób, które odwiedzają stronę, a także pomagają nam ocenić, które strony i treści są odwiedzane najczęściej.

Cookie	Czas przechowywania	Opis
_ga	2 lata	Plik cookie _ga, instalowany przez Google Analytics, oblicza dane dotyczące odwiedzających, sesji i kampanii, a także śledzi wykorzystanie witryny na potrzeby raportu analitycznego witryny. Plik cookie przechowuje informacje anonimowo i przypisuje losowo wygenerowany numer w celu rozpoznania unikalnych użytkowników.
_ga_BKFR6CLJT3	2 lata	Plik cookie wykorzystywany przez usługę Google Analytics.
_gat_gtag_UA_199300153_1	1 minuta	Wykorzystywany przez usługę Google Analytics do rozróżniania użytkowników.
_gid	1 dzień	Instalowany przez Google Analytics plik cookie _gid przechowuje informacje o tym, w jaki sposób odwiedzający korzystają ze strony internetowej, jednocześnie tworząc raport analityczny dotyczący wydajności strony internetowej. Niektóre gromadzone dane obejmują liczbę odwiedzających, ich źródło i strony, które odwiedzają anonimowo.